Introducere
Imaginați-vă că sunteți administratorul GitHub pentru un proiect și doriți să vă asigurați că codul nu include vulnerabilități de securitate sau erori. Poate dura foarte mult timp să verificați manual baza de cod, mai ales dacă este mare. Compania dvs. tocmai a achiziționat o licență GitHub Advanced Security care vă ajută să economisiți timp și efort, permițându-vă să utilizați scanarea codului. Cu scanarea codului, primiți avertizări care indică orice cod problematic. Apoi, puteți să găsiți rapid zonele cu probleme și să efectuați modificările necesare. Pentru a activa scanarea codului, trebuie să știți ce instrumente sunt disponibile și care sunt caracteristicile lor. De asemenea, trebuie să înțelegeți cât de des să efectuați scanarea codului și tipurile de evenimente pe care le puteți utiliza pentru a declanșa scanări.
Acest modul vă prezintă scanarea codului și caracteristicile sale. Veți afla cum să implementați scanarea codului utilizând CodeQL, instrumente de la terți și Acțiuni GitHub. De asemenea, veți afla despre diferitele moduri în care puteți configura scanarea codului pentru a vă optimiza experiența.
Obiective de învățare
După ce terminați acest modul, veți putea să:
- Descrieți scanarea codului.
- Listați pașii pentru activarea scanării codului într-un depozit.
- Listați pașii pentru activarea scanării codului cu analiza de la terți.
- Contrastul modului în care se implementează analiza CodeQL într-un flux de lucru Acțiuni GitHub comparativ cu un instrument de integrare continuă (CI) de la terți.
- Explicați cum se configurează scanarea codului într-un depozit utilizând evenimente care declanșează.
- Contrastează frecvența fluxurilor de lucru de scanare a codului (programate versus declanșate de evenimente).
Cerințe preliminare
- Un cont GitHub
- Familiarizarea cu gestionarea setărilor administrative GitHub
- Cunoștințe de bază despre acțiunile GitHub